Mail, téléphone, IBAN, adresse… Ce moteur de recherche répertorie les données personnelles de millions de Français
Un nouveau moteur de recherche clandestin donne accès gratuitement en quelques clics aux données personnelles extrêmement sensibles de millions de Français. Un outil puissant et effrayant qui ouvre la voie à des utilisations très dangereuses.
"Trouve n'importe qui en quelques secondes" : telle est la promesse effrayante de Searcher, un nouveau site Web qui a mis en ligne, gratuitement, en libre accès, des informations privées et extrêmement sensibles de millions de Français.
En effet, comme le révèle la cellule du "Vrai ou Faux" de Franceinfo, alertée par les élèves d'un collège d'Essonne, un nouveau site Web, créé début juin, regroupe par le biais d'un moteur de recherche des millions de données confidentielles, incluant des noms et prénoms, des dates et lieux de naissance, avec des adresses postales, des adresses mail, des numéros de téléphone mais aussi des numéros de passeport, des IBAN (International Bank Account Number), des numéros de Sécurité sociale, des plaques d'immatriculation et même des rendez-vous médicaux et des nombres d'enfants.
Nos confrères ont également mis au jour des données liées à des personnalités publiques et à des fonctionnaires censés être protégés par l'État. Autant d'informations qui sont actuellement rendues accessibles gratuitement à n'importe qui. En clair, tout ce qu'il fait pour harceler, pirater ou escroquer des victimes !
Searcher : des millions de données sensibles à portée de clic
Toutefois, contrairement à ce que pourrait laisser penser l'ampleur des informations retrouvées, le service Searcher n'a pas été conçu pour voler des données. Il s'agit d'un service qui explore en permanence le Web afin d'identifier des bases de données, serveurs et espaces de stockage insuffisamment protégés, et rassemble ensuite toutes les informations.
Selon un de ses créateurs, il s'appuie sur des bases de données de 127 sources ouvertes et publiques, couvrant aussi bien "des plateformes administratives, des opérateurs de services et d'autres structures accessibles au public", comme le site de l'Insee par exemple. Il s'appuie également sur les bases de données obtenues lors de piratages et rendues publiques sur le Dark Web.
La découverte de ces informations soulève inévitablement la question de la responsabilité des créateurs du moteur de recherche. Comme il s'agit d'un système d'indexation, ces derniers espèrent se dédouaner de toutes accusations judiciaires. Selon eux, ils ne font rien d'illégal, puisqu'ils se contentent de recenser des informations déjà exposées sur Internet. Ils ne sont ni propriétaires des données ni responsables de leur mise en ligne. Leur rôle se limite à signaler l'existence de contenus exposés, à l'image d'un moteur de recherche classique qui référence des pages web publiques. Ils indiquent d'ailleurs très clairement dans leur règlement que "l'utilisateur est seul responsable de l'usage qu'il en fait".
Un avis que ne partage visiblement pas la Commission nationale de l'informatique et des libertés (CNIL), qui a indiqué à franceinfo qu'"en l'état actuel du droit, ces services n'apparaissent pas conformes à la législation" car "ils fonctionnent en compilant les données issues de violations de données".
Initialement, l'accès à ce site était payant. Toutefois, ses créateurs ont mis en place un essai gratuit jusqu'au 15 juin, afin de se faire connaître – ce qui n'est vraiment pas une bonne nouvelle. Ensuite, l'inscription définitive coûte 10 euros la semaine, 35 euros le mois ou 75 euros par an. Des sommes relativement abordables au vu de la quantité et de la sensibilité des informations fournies. Les auteurs du site ont toutefois annoncé leur intention d'augmenter leurs tarifs assez rapidement. Notons que, pour ne pas apparaître dans le moteur de recherche, il faut les contacter par un canal dédié sur Discord, mais le délai de suppression est de 29 jours..
Searcher : des conséquences qui peuvent être dramatiques
L'exposition de telles données n'est pas anodine. Individuellement, certaines informations peuvent sembler peu sensibles. Mais lorsqu'elles sont regroupées, elles constituent une véritable mine d'or pour les fraudeurs. Par exemple, les coordonnées d'identité associées à une adresse postale, un numéro de téléphone ou une adresse électronique permettent d'élaborer des campagnes d'hameçonnage très crédibles. Les victimes peuvent recevoir des messages semblant provenir de leur banque, de leur fournisseur d'énergie ou d'une administration publique, avec un niveau de personnalisation suffisant pour inspirer confiance.
La présence d'IBAN est également très préoccupante. Car si, seul, il ne permet pas de vider un compte, il peut, couplé à d'autres informations sensibles, permettre de réaliser des mandats SEPA. En effet, la mise en place des prélèvements automatiques, qui servent à régler de nombreuses dépenses courantes – factures d'électricité, de gaz ou d'eau, abonnements téléphoniques et Internet, plateformes de streaming, ou encore cotisations d'assurance et impôts –, ne s'accompagne pas toujours de contrôles d'identité stricts. Un cybercriminel qui dispose d'un IBAN associé à des données personnelles peut ainsi débiter un compte avec une relative facilité.
Même chose pour les numéros de sécurité sociale, qui peuvent permettre d'accéder à certains services publics, comme Ameli.fr, et d'exploiter des dispositifs d'authentification tels que France Connect. Et impossible de le changer s'il a été compromis !
Les données liées à des rendez-vous médicaux figurent parmi les informations les plus préoccupantes. Ce type d'informations bénéficie normalement d'une protection renforcée en raison de leur caractère particulièrement intime. Leur divulgation peut porter atteinte à la vie privée des personnes concernées et, dans certains cas, entraîner des discriminations ou des tentatives de chantage. Elles pourraient par exemple nuire à des candidats lors de vérifications menées par les ressources humaines pour des entretiens d'embauche, ou être utilisées comme moyen d'intimidation dans le cas de conflits familiaux, de voisinages tendus ou de situations de violences intrafamiliales.
Savoir que toutes ces informations sont mises gratuitement à la disposition de n'importe quel internaute, et notamment des personnes mal intentionnées, est donc réellement problématique. Et il n'y a absolument rien que le grand public puisse faire, si ce n'est rester constamment sur ses gardes. Une illustration de plus de l'ampleur des failles numériques et de l'impuissance des dispositifs de protection face à une exploitation des données désormais industrialisée.